최근 국내에서 웹 브라우저 및 플러그인의 취약점을 겨냥한 리벤지(Revenge) 랜섬웨어가 발견되어 주의가 요구되고 있다.

리벤지 랜섬웨어는 RIG 익스플로잇(보안 취약점을 공격하도록 만들어진 스크립트 및 행위) 키트를 통해 배포되는 CryptoMix 또는 CryptFile2의 변종으로, 해킹돼 RIG 익스플로잇 키트 자바스크립트가 추가된 웹사이트를 통해 방문한 사용자들을 감염시키고 있는 것으로 알려졌다.

일단 감염되면 AES-256 알고리즘을 사용해 파일 및 파일 이름을 암호화하고 파일 확장자를 ‘.REVENGE’로 변경하는데, 국내에서만 사용되는 HWP 파일까지도 암호화한다. 이에 대한 복호화 방법은 아직까지 나오지 않은 상태이며, 감염을 알리는 메시지에 한글로 된 내용을 추가해 국내 사용자들의 결제를 유도하고 있다.

특히 리벤지는 관리자 권한이 필요한 드라이브의 파일들을 암호화하기 위해 “사용자 계정 컨트롤(UAC)”을 우회하는 기법을 사용하는데, 윈도우 디펜더의 업데이트가 필요하다는 내용의 가짜 경고창으로 사용자를 속여 클릭하도록 유도해 권한을 획득한다.

최근 이처럼 웹서핑을 통해 감염을 유도하는 랜섬웨어나 악성코드가 꾸준히 증가하고 있으므로 PC방의 경우 중요한 자료가 많은 카운터 PC에서의 인터넷 사용을 최대한 억제하고 수시로 백업해야 하며, 웹 브라우저의 최신 버전 사용과 보안 업데이트 등에도 소홀하지 말아야 한다.

▲ 윈도우 디펜더의 업데이트가 필요하다는 내용의 가짜 경고창
▲ RIG 익스플로잇 키트의 트래픽
▲ 한글로 된 감염 안내 및 결제 유도 메시지
저작권자 © 아이러브PC방 무단전재 및 재배포 금지

관련기사